这是有史以来第一个包含PLC Rootkit的电脑蠕虫病毒,也是已知的第一个以关键工业基础设施为目标的蠕虫病毒 ,它的名字叫做“震网”(Stuxnet)

震网病毒首次被公开于2010年6月,大小约为500KB ,感染平台为window200-Windows7的NT内核系统,病毒重灾地区:伊朗 ,攻击目标:破坏工业设备,拖慢伊朗核计划

如何阻止伊朗获得核武器(阻止伊朗发展核武器)(1)

震网“STUXNET”

时间回到2009年,在伊朗的纳坦兹,坐落着一座“铀浓缩工厂”这里大约有8700台铀浓缩离心机在工作,随着一场神秘的“重大核事故”,致使伊朗在几个月之内,更换掉1-2000台离心机设备,外界无法得知离心机如此快速损坏的原因

如何阻止伊朗获得核武器(阻止伊朗发展核武器)(2)

震网破坏离心机

然而答案就被隐藏在“这些机器周围”,埋藏在纳坦兹电脑的磁盘和内存中。几个月前,即2009年6月,有人默默地释放出一种复杂而极具破坏性的蠕虫病毒,这种蠕虫在伊朗的计算机中传播,目的只有一个——破坏伊朗的铀浓缩计划,阻止伊朗发展核武器。

但是直到1年以后,这种蠕虫病毒才浮出水面,他被命名为“震网”

2010年6月17日,谢尔盖·乌拉森在白俄罗斯的办公室里翻阅电子邮件时,一份报告引起了他的注意。一台属于伊朗客户的计算机陷入重启循环中,尽管管理员努力控制它,但计算机还是多次关闭和重新启动。这台机器似乎感染了病毒。

乌拉森的研究小组掌握了感染该计算机的病毒,并意识到该病毒正在利用"0day"漏洞进行传播。0day漏洞是黑客世界最有力的武器:他们利用软件制造商或防病毒供应商尚不了解的软件漏洞。极为罕见:发现这些漏洞并加以利用需要相当的技巧和毅力。每年杀毒研究人员发现上千万件恶意软件中,可能只有几个可以利用0DAY漏洞。

如何阻止伊朗获得核武器(阻止伊朗发展核武器)(3)

0DAY漏洞

震网利用一个0DAY漏洞允许病毒通过受感染的移动储存设备巧妙地从一台计算机传播到另一台计算机。该漏洞位于Windows的 LNK 快捷方式中,这是微软 Windows 的基本组件。当受感染的移动储存设备插入计算机,Windows资源管理器扫描设备中的内容时,漏洞代码被唤醒并偷偷地将一个部分加密的文件传输到计算机内部,就像一架军用运输机将伪装的士兵丢进目标区域一样。

乌拉森联系微软报告了该漏洞,并在安全论坛的帖子中公开了该发现。世界各地的防病毒公司争先恐后地解构该病毒,并以从代码中发现的一些文件名称(.stub和mxNet.sys),来命名该病毒“震网”

在全世界所有的防病毒公司对“震网”解析下,证明该病毒早在2009年6月就开始在外界传播,而“它”神秘的创造者随着时间的推移对其进行了更新和完善,发布了三个不同的版本。值得注意的是,该病毒的驱动程序文件之一使用从台湾硬件制造商(瑞昱)RealTek半导体窃取的有效签名证书,以愚弄系统判定恶意软件是来自RealTek的可信程序。

如何阻止伊朗获得核武器(阻止伊朗发展核武器)(4)

瑞昱半导体

微软很快吊销了该证书。但是防病毒公司又从震网中发现第二个有效数字签名证书,证书来自智微芯片,同样是台湾的电路制造商,总部和瑞昱设在同一个商业园区。这是否是巧合?是攻击闯入公司窃取证书?或者是黑客远程攻击他们获取了数字证书签名密钥?没人知道!

然而,在其他方面,Stuxnet在被感染计算机上似乎非常的有规则,该病毒旨在针对西门子WinCC Step7软件,这是一个由德国西门子集团制造的工业控制系统,用于编程控制器,应用从食品工厂、汽车装配线、天然气管道、水处理厂等所有领域的电机、阀门和开关。

如何阻止伊朗获得核武器(阻止伊朗发展核武器)(5)

西门子

工业控制系统不是传统的黑客目标,因为黑客攻击它们没有明显的经济收益,它似乎只是从系统中窃取配置和设计数据,看起来就像是一起工业间谍案。

但是。。震网绝没有如此简单

震网每感染一个系统,它会"打电话"到托管在马来西亚和丹麦的两个服务器上-报告有关受感染的机器的信息。包括机器的内部和外部 IP 地址、计算机名称、操作系统和版本,以及西门子 Simatic WinCC Step7 软是否安装在机器上。并可以命令和控制受感染的计算机,例如更新 震网,增加功能,甚至在系统上安装更多的恶意文件。

这两个域名的 DNS 提供商已经对传入的流量进行了限制,以防止其到达到攻击者手中。赛门铁克联系了dns供应商,转移了解析线路,一周以后,赛门铁克收到来自几十个国家大约40000台计算机的感染信息,预计几天后,这个数字将会飙升到10万以上。

如何阻止伊朗获得核武器(阻止伊朗发展核武器)(6)

位于马来西亚的服务器

将这些感染计算机的地理位置绘制成分布图时,出现了一种奇怪的现象。在最初的38,000例感染中,约有22,000例发生在伊朗。遥遥领先于第二位印度尼西亚的6 700例,其次是印度,约有3 700人感染。美国只有不到400个。在这38000例中,只有少数机器安装了西门子step7软件——其中217台在伊朗,16台在美国。

这个数据非常奇怪——伊朗从未在计算机病毒感染统计中排名如此之高,通常是韩国和美国一直名列前茅,因为它们的互联网用户数量最多。即使在以中东或中亚为中心的计算机疫情中,伊朗也从未排名如此之高。很明显,伊朗是“震网”感染的中心。

种种因素叠加,使“震网”看起来像是一个网络武器,甚至可能是美国的网络武器。

如何阻止伊朗获得核武器(阻止伊朗发展核武器)(7)

网络武器

随着对病毒的进一步解构监控,研究人员发现,震网除了利用 LNK 漏洞之外,还使用了其余三个0DAY漏洞,第二个是 Windows 打印服务漏洞,在使用共享打印机的机器之间展开传播。第三个和第四个漏洞攻击了 Windows 键盘文件和计划任务事件中的漏洞,从而提升攻击者在计算机上的权限,并完全控制它。此外,Stuxnet 还利用了西门子在其 Step7 软件中硬编码的静态密码。使其访问并感染托管数据库的服务器,并从那里感染连接到服务器的其他计算机。

研究还发现,震网的每一次传播都会在自身中记录它所感染的每个系统的IP和时间戳。这使得能够追溯到原始受感染的计算机,经过分析,袭击者将攻击重点放在伊朗五个组织的计算机上,这五个组织在2009年6月和7月以及2010年3月、4月和5月再次受到不同感染的反复打击,这其中就包括位于纳坦兹的核浓缩工厂的铀离心机

如何阻止伊朗获得核武器(阻止伊朗发展核武器)(8)

STUXNET

震网病毒导致受感染的伊朗IR-1型离心机从正常运行速度1064HZ增加到1410HZ并持续15分钟,然后恢复到正常频率,27天以后震网再次行动,将受感染的离心机运行速度减慢到几百HZ持续50分钟,过大、速度较慢的压力导致铝离心管膨胀,迫使部分离心机相互接触,使机器收到损坏

这些损坏可能将伊朗的核计划拖慢2年的时间

那如此复杂的“震网病毒”到底是谁创造的呢?

各大安全厂商认为,如此复杂和危险的恶意程序,不是个人或民间组织能够研发出来了,它的背后可能是一个国家在支持。

直到今日,震网的始作俑者仍然没有浮出水面,但是各国之间的网络战争却才刚刚开始。

,